Computertastatur | Bildquelle: AP

Vor BGH-Urteil Dürfen IP-Adressen gespeichert werden?

Stand: 16.05.2017 00:05 Uhr

Dürfen Betreiber von Webseiten IP-Adressen speichern? Das entscheidet heute der Bundesgerichtshof. Zentrale Frage: Wiegt der "Schutz vor Hackerangriffen" als Begründung stark genug, um die Adressen der User zu speichern?

Von Timo Conraths, ARD-Rechtsredaktion

Dem Politiker der Piratenpartei, Patrick Breyer, geht es ums große Ganze: Er sieht das Recht auf Anonymität im Netz bedroht, wenn Betreiber von Webseiten die IP-Adressen ihrer Besucher über mehrere Wochen hinweg speichern. Schon im Jahr 2008 verklagte er deshalb die Bundesregierung, weil auch viele Ministerien auf ihren Webseiten so verfahren. Sein Argument: Das deutsche Recht gebe eine solche Speicherung nicht her. Nach dem einschlägigen Telemediengesetz dürften sogenannte personenbezogene Daten - also Daten, die Rückschlüsse auf eine Person geben können - nur während der laufenden Verbindung gespeichert werden, nicht danach. Es sei denn, sie werden im Anschluss noch zur Abrechnung benötigt. Die Bundesregierung hält die Speicherung hingegen für notwendig, um Hackerangriffe besser ahnden und sich vor weiteren Angriffen schützen zu können.

Digitaler Fußabdruck im Netz

Wer im Internet surft, hinterlässt Spuren. Denn jedem Gerät, das Zugang zum Internet hat, ist eine bestimmte IP-Adresse zugeordnet. Bei Verbrauchern ist das häufig eine sogenannte dynamische IP-Adresse, die sich alle paar Stunden oder Tage ändert. Was auf den ersten Blick wie eine vermeintlich harmlose Zahlenabfolge aussieht, ist gleichzeitig eine Art digitaler Fußabdruck, den jeder Internetnutzer zwangsläufig auf einer Webseite zurücklässt. Der Webseitenbetreiber erkennt so, welcher Computer gerade auf seine Seite zugreift. Den Internetanschluss und damit  die Person hinter dem Computer kann er durch die IP-Adresse allein aber nicht ermitteln. Das geht in der Regel nur über den Internetanbieter, der die IP-Adresse dem Anschlussinhaber zuordnen kann. Ermittlungsbehörden können jedoch unter bestimmten Voraussetzungen - insbesondere zur Aufklärung von Straftaten - von dem Internetanbieter verlangen, den Namen des Anschlussinhabers herauszugeben.

Personenbezogene Daten – ja oder nein?

Im Verfahren stellte sich daher zunächst die Frage: Sind IP-Adressen für den Webseitenbetreiber überhaupt personenbezogene Daten? Ja, sagte der Kläger Breyer. Schließlich könne man durch diese Ziffernfolge - wenn auch über Umwege - die Person hinter dem Gerät identifizieren. Nein, sagte die beklagte Bundesregierung. Grundsätzlich habe der Webseitenbetreiber keine Möglichkeit an den Namen des Anschlussinhabers zu gelangen.

Der Europäische Gerichtshof (EuGH) entschied diese Frage schon im Oktober 2016: Auch dynamische IP-Adressen seien personenbezogene Daten, wenn der Betreiber der Webseite die rechtliche Möglichkeit hat, den konkreten Nutzer ausfindig zu machen. Dies sei in Deutschland der Fall. Insoweit ging das Urteil zugunsten des Klägers aus.

Speicherung trotzdem möglich

Allerdings sagte der EuGH auch: Die Speicherung dieser Daten könne nach europäischem Datenschutzrecht dennoch zulässig sein. Und zwar dann, wenn der Seitenbetreiber ein "berechtigtes Interesse" an den Daten habe. Das deutsche Recht schränke dies zu sehr ein, wenn es die Speicherung nur während der Internetverbindung oder zur Abrechnung zulasse. Es müsse vielmehr zwischen dem berechtigten Interesse der Webseitenbetreiber und den Grundrechten und Grundfreiheiten des Nutzers abgewogen werden. Der EuGH hob dabei ausdrücklich hervor: Das Interesse eines Webseitenbetreibers, sich vor Cyberangriffen zu schützen und dadurch die Funktionsfähigkeit seiner Seite zu garantieren, könne dabei durchaus ein solches berechtigtes Interesse darstellen. Den konkreten Fall gaben die Luxemburger Richter jedoch wieder zurück an den Bundesgerichtshof (BGH).

Welche Interessen überwiegen?

Eine zentrale Frage bleibt, die nun dem BGH vorliegt. Zugespitzt lautet sie: Persönlichkeitsrecht oder Sicherheitsinteresse? Darf der Bund im konkreten Fall die Daten, die Aufschluss über die Identität des Webseitennutzers geben, speichern und im Ernstfall verwenden, um damit seine Seiten vor Hackerangriffen zu schützen? Oder ist der Eingriff in das Persönlichkeitsrecht des Nutzers zu groß, wenn seine Anwesenheit auf einer bestimmten Seite dokumentiert und eventuell weiterverwendet wird? Eine Abwägung, die der BGH womöglich nicht treffen kann.

Denn entscheidend wird dabei  sein, ob die Speicherung der IP-Adressen überhaupt notwendig ist, um die Funktionsfähigkeit der Seiten des Ministeriums zu gewährleisten. Da dies in den Vorinstanzen noch nicht abschließend geklärt wurde, ist es gut möglich, dass der Bundesgerichtshof die Sache wieder an das zuständige Landgericht Berlin zurückverweist, dass dann diese Frage klären müsste.

Der Rechtsstreit hat nicht nur Bedeutung für Webseiten der beklagten Bundesregierung. Der Kläger hatte sich den Bund quasi exemplarisch herausgesucht. Die juristische Frage betrifft vielmehr alle Webseiten, also auch von Unternehmen und Privatpersonen. Da die Rechtsfrage die gleiche bleibt, ist sie auch für die im kommenden Jahr in Kraft tretende europäische Datenschutz-Grundverordnung relevant.

Über dieses Thema berichtete die tagesschau am 16. Mai 2017 um 12:00 Uhr.

Darstellung: